Verwaltungsrats-Lexikon

IKS (Internes Kontrollsystem)

Firmeninternes System aus Kontrollmechanismen zur Sicherstellung der Zielerreichung, Compliance und ordnungsgemässen Berichterstattung — gesetzlich gefordert nach OR.

Definition

Das Interne Kontrollsystem (IKS) ist die Gesamtheit aller systematisch eingerichteten Kontrollmechanismen, die in den Prozessen einer Gesellschaft eingebettet sind. Es dient drei Kernzielen:

  1. Wirksamkeit und Effizienz der betrieblichen Aktivitäten.
  2. Zuverlässigkeit der finanziellen Berichterstattung.
  3. Einhaltung anwendbarer Gesetze und Vorschriften.

Im Schweizer Aktienrecht ist das IKS gesetzlich verlangt (OR Art. 716a Abs. 1 Ziff. 3 — „Ausgestaltung der Finanzkontrolle"). Die ordentliche Revisionsstelle muss bei revisionspflichtigen Gesellschaften das IKS für die Rechnungslegung in ihrem Bericht ausdrücklich bestätigen (OR Art. 728a Abs. 1 Ziff. 3).

Komponenten des IKS (COSO-Framework)

Das international anerkannte COSO-Framework gliedert das IKS in fünf Komponenten:

1. Kontrollumfeld (Control Environment)

  • Tone at the Top: Führungskultur, Ethik, Werte.
  • Organisationsstruktur: Aufgaben, Verantwortlichkeiten, Berichtswege.
  • HR-Politik: Auswahl, Entwicklung, Beurteilung der Mitarbeitenden.
  • Integrität und ethische Standards.

2. Risikobeurteilung (Risk Assessment)

  • Identifikation relevanter Risiken in den Geschäftsprozessen.
  • Bewertung nach Wahrscheinlichkeit und Auswirkung.
  • Priorisierung für die Aufmerksamkeit des Managements.
  • Aktualisierung bei Veränderungen.

3. Kontrollaktivitäten (Control Activities)

  • Genehmigungs- und Autorisierungsverfahren: wer darf was?
  • Funktionstrennung (Segregation of Duties) — kein Vier-Augen-Prinzip umgehbar.
  • Vier-Augen-Prinzip bei kritischen Transaktionen.
  • Abgleiche und Reconciliations zwischen verschiedenen Buchungssystemen.
  • Physische Sicherheiten für Vermögenswerte und Daten.

4. Information und Kommunikation

  • Informationsflüsse: Berichte gehen an die richtigen Personen.
  • Eskalationsmechanismen: Probleme werden zeitnah weitergemeldet.
  • Whistleblower-Kanal: Hinweise erreichen die richtige Stelle.

5. Überwachung (Monitoring)

  • Laufende Überwachung durch das Management.
  • Periodische Beurteilung durch Internal Audit oder externe Stellen.
  • Reporting an VR und Audit Committee.
  • Verbesserung identifizierter Schwächen.

IKS-Reifegrad

Das IKS sollte zur Grösse und Komplexität der Gesellschaft passen:

Kleine KMU

  • Vier-Augen-Prinzip bei Zahlungen.
  • Trennung Buchhaltung und Zahlungsverkehr.
  • Periodische Überprüfungen durch Geschäftsführung oder externe Treuhandstelle.
  • Dokumentation der wesentlichen Kontrollen.

Mittlere Gesellschaften

  • Schriftliche IKS-Dokumentation: Kontrollen je Prozess festgelegt.
  • Risikolandkarte mit Verknüpfung zu Kontrollen.
  • Regelmässige Überprüfung der Kontrollwirksamkeit.
  • Reporting an die Geschäftsleitung.

Grosse / börsenkotierte Gesellschaften

  • Vollständig dokumentiertes IKS nach COSO oder ähnlichem Framework.
  • Internal Audit als unabhängige Prüffunktion.
  • IKS-spezifische Berichterstattung an Audit Committee.
  • Externe Bestätigung durch die ordentliche Revisionsstelle.

VR-Verantwortung für das IKS

Der Verwaltungsrat trägt mehrere Aufgaben:

  • IKS-Konzeption verabschieden — Framework, Verantwortlichkeiten, Standards.
  • IKS-Wirksamkeit überprüfen — Schwächen, Massnahmen.
  • Reaktion auf IKS-Schwächen: angemessene Verbesserungen einfordern.
  • Externe Bestätigung würdigen — Bericht der Revisionsstelle zum IKS.

Bei nachweislich mangelhaftem IKS und resultierenden Schäden droht persönliche Haftung der VR-Mitglieder — dies ist einer der häufigsten Vorwürfe in Konkurs-Verantwortlichkeitsklagen.

IKS und Revisionspflicht

Die Schweizer Revisionspflicht knüpft am IKS an:

  • Ordentliche Revision (grosse Gesellschaften und alle börsenkotierten): IKS muss bestätigt werden, Bestätigungsbericht.
  • Eingeschränkte Revision (mittlere Gesellschaften): IKS wird nicht bestätigt, aber bei wesentlichen Mängeln berichtet.
  • Opting Out (Kleinst-Gesellschaften unter 10 Vollzeitstellen): kein Audit, kein IKS-Bericht — VR trägt aber weiterhin Verantwortung.

IT- und Cyber-IKS

Mit zunehmender Digitalisierung ist IT-IKS ein eigener Schwerpunkt:

  • Access Management: Wer hat Zugriff worauf, mit welchen Rechten?
  • Change Management: Wie werden IT-Systeme geändert? Wer genehmigt?
  • Backup und Recovery: Disaster Recovery, Business Continuity.
  • Cyber-Sicherheit: Detection, Prevention, Response.
  • Datenmanagement: Klassifikation, Aufbewahrung, Löschung.

Häufige IKS-Schwächen

Typische Defizite:

  • Schöner-Schein-IKS: formal dokumentiert, faktisch umgangen.
  • Fehlende Funktionstrennung: gleiche Person bucht und zahlt.
  • Workaround-Kultur: Kontrollen werden bei Zeitdruck ignoriert.
  • Top-Management-Ausnahmen: CEO/VRP umgehen die Kontrollen.
  • IT-IKS-Lücken: physische Kontrollen vorhanden, digitale fehlen.
  • Mangelnde Anpassung: IKS folgt nicht der Geschäftsentwicklung.

IKS und Betrug

Ein gut funktionierendes IKS verhindert oder erschwert Betrug:

  • Funktionstrennung verhindert Einzeltäter-Betrug.
  • Vier-Augen-Prinzip macht Kollusion notwendig.
  • Regelmässige Abgleiche entdecken Unstimmigkeiten zeitnah.
  • Whistleblower-System ermöglicht Hinweise auf Verdacht.

Aber: kein IKS kann Betrug durch absichtliche Kollusion mehrerer Top-Akteure verhindern.

Abgrenzung

  • Risk Management: strategischer Rahmen — das IKS ist die operative Umsetzung der Risikominderung in Prozessen.
  • Compliance: Regeleinhaltung — das IKS sichert auch die Compliance ab, ist aber breiter.
  • Internal Audit: unabhängige Prüfung der IKS-Wirksamkeit — nicht selbst Teil des IKS.

Häufige Fragen

Was ist ein Internes Kontrollsystem (IKS)?
Das Interne Kontrollsystem ist die Gesamtheit aller systematisch eingerichteten Kontrollmechanismen in den Prozessen einer Gesellschaft. Es dient drei Kernzielen: Wirksamkeit und Effizienz der Aktivitäten, Zuverlässigkeit der finanziellen Berichterstattung sowie Einhaltung anwendbarer Gesetze und Vorschriften. Es ist gesetzlich verankert in OR Art. 716a Abs. 1 Ziff. 3.
Ist das IKS in der Schweiz gesetzlich vorgeschrieben?
Ja. Das IKS ist im Schweizer Aktienrecht verlangt: OR Art. 716a Abs. 1 Ziff. 3 fordert die Ausgestaltung der Finanzkontrolle, und die ordentliche Revisionsstelle muss bei revisionspflichtigen Gesellschaften gemäss OR Art. 728a Abs. 1 Ziff. 3 das IKS für die Rechnungslegung in ihrem Bericht ausdrücklich bestätigen.
Aus welchen Komponenten besteht ein IKS nach COSO?
Das COSO-Framework gliedert das IKS in fünf Komponenten: Kontrollumfeld (Tone at the Top, Organisationsstruktur, HR-Politik), Risikobeurteilung (Identifikation, Bewertung, Priorisierung), Kontrollaktivitäten (Funktionstrennung, Vier-Augen-Prinzip, Reconciliations), Information und Kommunikation sowie Überwachung durch Management und Internal Audit.
Welche IKS-Anforderungen gelten für KMU?
Kleine KMU brauchen mindestens Vier-Augen-Prinzip bei Zahlungen, Trennung von Buchhaltung und Zahlungsverkehr, periodische Überprüfungen durch Geschäftsführung oder externe Treuhandstelle sowie Dokumentation der wesentlichen Kontrollen. Bei Opting Out (unter 10 Vollzeitstellen) entfällt der externe IKS-Bericht, die VR-Verantwortung bleibt aber.
Welche Verantwortung trägt der Verwaltungsrat für das IKS?
Der VR muss die IKS-Konzeption mit Framework, Verantwortlichkeiten und Standards verabschieden, die IKS-Wirksamkeit überprüfen, auf Schwächen mit angemessenen Verbesserungen reagieren und die externe Bestätigung der Revisionsstelle würdigen. Mangelhaftes IKS ist einer der häufigsten Vorwürfe in Konkurs-Verantwortlichkeitsklagen gemäss OR Art. 754.
Wie hängt das IKS mit der Revisionspflicht zusammen?
Bei ordentlicher Revision (grosse und alle börsenkotierten Gesellschaften) muss das IKS gemäss OR Art. 728a bestätigt werden mit eigenem Bestätigungsbericht. Bei eingeschränkter Revision (mittlere Gesellschaften) wird das IKS nicht bestätigt, aber wesentliche Mängel werden berichtet. Beim Opting Out (Kleinst-Gesellschaften) entfällt der IKS-Bericht.
Was ist IT- und Cyber-IKS?
IT-IKS umfasst Access Management (wer hat welche Zugriffsrechte), Change Management (Genehmigung von Systemänderungen), Backup und Disaster Recovery, Cyber-Sicherheit mit Detection, Prevention und Response sowie Datenmanagement mit Klassifikation, Aufbewahrung und Löschung. Mit zunehmender Digitalisierung ist es ein eigener Schwerpunkt geworden.
Welche typischen IKS-Schwächen gibt es?
Häufig sind Schöner-Schein-IKS (formal dokumentiert, faktisch umgangen), fehlende Funktionstrennung (gleiche Person bucht und zahlt), Workaround-Kultur bei Zeitdruck, Top-Management-Ausnahmen, IT-IKS-Lücken bei vorhandenen physischen Kontrollen sowie mangelnde Anpassung an die Geschäftsentwicklung. Kollusion mehrerer Top-Akteure bleibt durch kein IKS verhinderbar.
Was ist ein Kontrollsystem im Unternehmen?
Kontrollsystem ist ein synonymer Begriff für das interne Kontrollsystem (IKS). Es umfasst alle Prozesse, Regeln und Massnahmen zur Sicherstellung der Ordnungsmässigkeit der Geschäftstätigkeit, der Risikoerkennung und der Berichterstattung (OR Art. 728a Abs. 1 Ziff. 3).

Verwandte Einträge

  • Risiko-ManagementSystematische Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken einer Gesellschaft — Kernverantwortung des VR.
  • Audit Committee (Prüfungsausschuss)Spezialisierter Ausschuss des Verwaltungsrats für Finanzberichterstattung, internes Kontrollsystem und Beziehung zur Revisionsstelle.
  • RevisionsstelleExterne Prüfungsstelle der Aktiengesellschaft — gesetzlich zwingend, prüft Jahresrechnung und IKS, berichtet an die Generalversammlung.
  • Corporate GovernanceGesamtsystem der Führung und Kontrolle einer Gesellschaft — Verhältnis zwischen Verwaltungsrat, Geschäftsleitung, Aktionären und weiteren Stakeholdern.